探讨高弹性可扩展的云服务平台身份鉴别安全防护的一种实现*

王宏君 高新村 王志鹏 金涛

北京神舟航天软件技术有限公司 北京 100094

引言

高弹性可扩展的云服务平台汇聚了大量工业应用资源，向注册用户提供在线应用资源及一体化服务。平台具备支持高并发、弹性扩展的线上处理云服务能力。平台提供工业应用创意设计、建模工具集以及其他第三方服务资源。平台采用一系列的防护措施，用于工业设备、设备网络、云服务平台、业务数据的安全防护[3]。

本文重点介绍平台中身份鉴别安全防护[4]的要求、设计、实现和评测的情况。

1 身份鉴别要求

身份鉴别安全防护是平台基础的安全防护，一般包括登录控制、用户标识和口令、认证过程和审计日志四个方面。

1.1 登录控制

平台应具备安全登录场景，防止用户信息泄露。首次登录时，提示用户重新设置密码；登录失败，在达到非法登录次数后自动结束会话或者自动退出，在一定时长间隔内拒绝重新登录；登录超时后，系统自动注销。平台具备单点登录能力，能够跨应用登录。平台具备双因子认证能力，例如用户名和密码、二维码、生物特征[2]等方式。

1.2 用户标识和口令

平台应具备用户身份标识唯一检测能力，避免用户标识重复。口令应具备一定的复杂度，口令字符长度可配置，口令组成包含大写字母、小写字母、数字、特殊字符中至少两种字符的组合。口令应定期更换，口令更换周期可配置。口令修改或找回，应具备验证机制，避免被他人篡改，造成身份冒用。口令数据应加密存储。

1.3 认证过程

平台应具备用户鉴别信息复杂度检测能力，避免身份鉴别信息被冒用。平台应具备双向认证能力，信息的接收者应能够确认信息的来源，避免访问者的非法访问；访问者确认服务的提供者，保障服务提供者为具有正确身份的访问者提供服务。认证过程中应具备端对端加密能力，禁止鉴别信息在网络中明文传输，防止在网络传输过程中被窃取。

1.4 审计日志

平台应具备审计能力，审计内容应包括事件的日期和时间、用户、事件类型、事件是否成功等信息；审计日志[5]应定期备份，保存时长可配置，避免受到未预期的删除、修改或覆盖等操作。

2 身份鉴别的逻辑设计及实现过程

2.1 逻辑设计

身份鉴别由身份认证服务前端、服务网关、注册中心和身份认证服务后端四种逻辑单元组成。

服务网关、注册中心是高弹性可扩展云平台管理全部服务的共有逻辑单元。服务网关为所有应用提供对外服务，对工业应用的所有访问通过服务网关，由服务网关路由到注册中心中对应服务进行交互访问。注册中心为所有工业应用或者服务提供注册，所有对外提供服务的工业应用必须到注册中心进行注册。

身份鉴别是平台的基础服务，必须在注册中心首先注册。身份认证服务前端、后端是平台上应用服务共同调用的逻辑单元。身份认证服务前端提供双因子认证，由用户名密码、二维码认证组成。身份认证服务后端提供用户标识的唯一性检查、密码的加密存储、密码复杂度检查、更换周期和登录失败策略设置。身份认证服务前端和后端通信采用数据加密传输，而且采用双向认证，后端验证访问者是否合法，前端验证服务提供者是否正确。

身份鉴别日志记录身份鉴别的日期和时间、用户、事件类型、事件是否成功等信息。审计日志定期备份，保留时长由日志策略设置。如图1。

图1 系统身份鉴别方案

2.2 实现过程

以打印服务为例，说明身份鉴别服务的用户信息收集、传输、验证和认证过程记录的实现过程。

终端用户访问打印服务，访问请求被服务网关发送到注册中心的打印服务。打印服务检查访问请求中的用户信息，用户信息的检查请求被服务网关发送到身份鉴别服务。

2.2.1 收集用户信息：身份鉴别服务接收到请求后，判断用户的密码更换周期，要求当前用户输入用户信息。终端用户通过手机扫描二维码，输入用户名密码，并检验密码的复杂度。

2.2.2 认证信息传输：用户输入的信息加密后传输到身份鉴别服务。身份鉴别服务接收到用户信息并解密，检查数据来源、用户标识唯一性。

2.2.3 一次认证：认证失败，在达到非法登录次数后自动结束会话或者自动退出，在一定时间间隔内拒绝登录访问；认证通过，将终端用户授权码发放给打印服务。登录超时，打印服务自动注销。

2.2.4 二次认证：打印服务根据授权码生成令牌，令牌传送到终端用户，终端用户确认服务提供者并携带令牌获取打印服务资源。

2.2.5 认证过程记录：身份鉴别过程以审计日志的方式进行记录。

图2 应用身份鉴定流程

3 身份鉴别的验证评测

高弹性可扩展云服务平台必须满足等保三级的评测要求，身份鉴别作为平台的安全防护措施，应能够有效保护平台的安全，满足网络安全等级保护基本要求（GB/T22239-2019）、网络安全等级保护测评要求（GB/T28448-2019）的相关标准条款。

表1 身份鉴别测评结论表

4 结束语

本文提出了平台身份鉴别的安全防护要求，并按照要求开展了方案设计、功能实现，最后按照等保三级标准要求进行验证测评，均符合安全防护要求，充分证明身份鉴别安全防护的实现方式技术路线具有可行性。高弹性可扩展的云服务平台的安全防护都采用提出要求、方案设计、功能实现和验证评测的技术路线，因此，平台安全防护具备可行的技术保障。